Обход EDR: техники уклонения от обнаружения в 2026

admin

Administrator
Команда форума
Обзор техник обхода EDR-решений

Систематический обзор актуальных методов уклонения от EDR/XDR решений, актуальных на 2026 год.

Основные подходы:

  1. Syscall unhooking — прямые системные вызовы (direct/indirect syscalls)
  2. ETW patching — отключение Event Tracing for Windows
  3. AMSI bypass — обход антималварного интерфейса
  4. Sleep obfuscation — шифрование payload в памяти между вызовами
  5. Module stomping — внедрение кода в легитимные DLL

Пример: indirect syscall wrapper

Код:
; Indirect syscall via ntdll
mov r10, rcx
mov eax, SSN        ; System Service Number
jmp [ntdll_stub]    ; Jump to ntdll syscall instruction

Противодействие (для Blue Team):

  • Kernel callback monitoring
  • Hypervisor-based memory scanning
  • Behavioral analysis с ML
  • Hardware breakpoint detection

Материал предоставлен в образовательных целях для специалистов по кибербезопасности.
 
Назад
Верх